企业网络安全实施方案范文
时间:2023-09-14 17:50:57
导语:如何才能写好一篇企业网络安全实施方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。
篇1
关键词:中小企事业单位;信息化;网络安全;解决方案
当前,网络安全问题主要来源于两个方面:一方面来源于Internet,Internet给企事业网络带来成熟的应用技术的同时,也把固有的安全问题带给了企事业网络;另一方面来源于企事业内部,因为是内部网络,主要针对企事业内部的人员和企事业内部的信息资源,因此,企事业网络同时又面临自身所特有的安全问题。网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易遭受到攻击,而攻击的后果是严重的,诸如重要数据被人窃取、服务器不能提供服务等等。要想解决网络的安全问题,我们就要从网络的设计和使用两方面着手进行分析处理。
1 中小企事业单位网络设计原则
由于所处行业不同,各企事业单位的网络结构也存在着一定的差异。但总的来说,网络的设计原则是一致的。
(1)实用性和经济性,根据中小企事业单位的特点,网络系统建设应始终贯彻面向应用、注重实效的方针,坚持实用、经济的原则,建设企事业单位的网络系统。
(2)先进性和成熟性。网络系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟,不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内网络仍占领先地位。
(3)可靠性和稳定性。在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠和稳定,达到最大的平均无故障时间。
(4)安全性和保密性。在网络系统设计中,既要考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的安全措施,包括系统安全机制、数据存取的权限控制等。
(5)可扩展性和易维护性。为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高网络的易用性。
2 网络设计阶段安全解决方案
网络安全问题贯穿于网络设计和使用阶段。在网络设计阶段可采取的网络安全措施主要有以下几种:
(1)物理措施。加强对网络关键设备(如交换机、路由器等)的保护,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施,确保网络关键设备的正常运行。
(2)网络分段。目前,大多数中小企事业单位网络采用以广播为基础的以太网,任何两个节点之间的通信数据包,可以被处在同一以太网上的任何一个节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网上的所有数据包,对其进行解包分析,从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
(3)硬件防火墙技术。防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企事业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
(4)VLAN技术。选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,它依靠用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。而且,即使黑客攻破某一虚拟子网,也无法得到整个网络的信息。
(5)硬件隔离设置。对于安全性能要求较高的终端,可采用硬件隔离技术,物理上彻底隔断两个网络环境,针对不同安全级别网络的需求,可采用终端级隔离、信道级隔离和网络级隔离三种方案,确保信息的安全。
3 影响网络安全的几种错误使用习惯
尽管在网络设计阶段我们采取了种种安全措施,但在使用过程中仍不可避免受到安全问题的困扰,这要从网络具体使用人员的错误使用习惯说起。
(1)不恰当的密码使用。密码是最简单的安全形式,如果密码为空或者是过于简单(如“123456”或者是“admin”),未经授权的使用者可以很容易去浏览敏感数据。如果密码中既包含字母也包含数字,并且既有大写也有小写,那么密码就会更安全。还有一点值得注意的就是密码要经常更换。
(2)忽视安全补丁。在你的操作系统中,大多数会存在着安全漏洞。没有任何一种软件是完美的,一旦一个缺陷或是漏洞被发现,经常就会在很短的一段时间内被黑客和恶意程序利用,对用户产生巨大的危害。因此,尽快安装安全补丁是必要的,也是必须的。
(3)不安装杀毒软件。没有安装杀毒软件的计算机直接连在网络上是不安全的。你的个人信息随时都可能被黑客或者恶意程序所监控。因此,在使用网络或是无线网卡联网之前,要先装上杀毒软件。理论上来说,这种软件应该包含病毒防护、间谍软件扫描以及防止恶意软件在后台安装程序等功能。安装后及时升级病毒库是很关键的。这样能确保杀毒软件监测到最新的病毒和恶意软件,保证用户的电脑可以更加安全地运行。
(4)不使用加密技术。储存和传递未加密的数据等于是把这些数据公之于众。在银行业和信用卡中,加密技术尤为重要。
4 网络使用阶段安全防范措施
以上几种错误使用习惯经常出现的根本原因就是用户缺少安全意识。未受网络安全培训的电脑使用者经常成为病毒、间谍软件和网络钓鱼的受害者,是与他们缺少安全意识分不开的。对员工进行安全意识教育和网络安全策略的培训至关重要。大量的调查研究已经证实,内部的人员已经成为网络安全的最大潜在威胁,因为他们拥有最大的访问权限。除了这一点外,网管人员还应根据单位的实际情况,做好如下安全防范措施:
(1)IP地址与MAC绑定。加大网络监管力度,严格控制本单位IP地址的分配,做好IP地址使用备案,做好IP地址与MAC地址的绑定,避免发生因个别计算机遭到ARP攻击而造成整个网络瘫痪的问题。
(2)访问控制,对用户访问网络资源的权限进行严格的认证和控制。例如:进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。
(3)补丁管理。不但要对操作系统打补丁,还要为应用程序打补丁。为所有的系统和第三方的应用程序制定慎密的安全计划。管理员要清醒地知道,哪些计算机和软件需要更新和升级。
(4)数据加密。加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。
(5)安装网络防病毒系统。及时升级病毒库,定期对计算机进行查杀,防止病毒对系统安全造成破坏。
(6)无线网络安全。设置接入密码和用户身份确认,设备在不使用时断电。
篇2
关键词 电力企业;信息安全;防护措施
中图分类号TM7 文献标识码A 文章编号 1674-6708(2012)65-0022-03
信息化是社会生产力与生产方式发展的一个必然趋势,是我国显得文明建设的一项重要标志。信息化建设能够带动企业管理水平与生产效能的提高,信息资源作为一种重要的资源,其重要性逐渐被人们所认识。电力企业属于技术密集型产业,对于生产自动化与集约化都有着较高的要求,因此也是较早的进行信息化建设的一批企业,并且也取得了一些显著的成效,但是也正是因为起步较早,缺乏经验,因此在信息化网络的建设中总是存在着很多问题,而这些问题已经逐渐成为了电力企业网络信息安全的隐患,因此,加强网络信息安全已经成为了电力企业发展的重要组成部分。
1 电力企业网络信息安全现状分析
各级电力企业因为生产经营与管理的需要,都在不同程度上建成了自己的自动化系统,变电站基本也实现了“四遥”和无人值守。并且也建立起了企业自己的管理系统来对生产、营销、财务、行政办公等工作进行覆盖,并已经进行了实用化具有较高安全等级的调度自动化系统已经通过WEB网关与MIS之间进行相互的信息访问,部分地方已经安装了正向隔离器,进而实现了物理隔离与数据的安全访问。
各个电力企业已经制定了安全策略,并实施了一部分,同时实现了互联网的安全接入。
将营销支持网络与呼叫接入系统和MIS网络进行了整合,并且已经与用户、银行等企业实现了信息的安全共享,对自身的服务手段进行了优化。
边远地区的班站基本都通过VPN技术来实现了远程班组联网的要求,并能够实现大范围的信息共享,而且应用范围也变得更加的广泛。利用VPN的高级应用能够构建起基于互联网的各种远程服务。
2 电力企业网络信息安全方面存在的问题
2.1不同的网络之间没有严格的进行等级划分
根据《全国电力二次系统安全防护总体方案》,电力企业对于不同安全等级的网络必须要进行安全等级的划分。在纵向上,电力企业需要实现实时监控系统之间的互联。各个自动化系统与低调系统之间都是通过载波进行单向数据转发,而部分基层电力企业都没有实现网络化的数据传输,同时在主站与厂站之间也没有实现光纤载波双通道。在横向上,要求能够实现实时监控系统与非实时监控系统之间的相互连接。根据当前的互联网现状与通信现状,主要还存在着这些问题:1)单向数据的传输难以实现真正意义上的数据共享,同时在与非实时系统之间的接口上也没有进行标准数据接口的建设;2)部分电力企业没有利用MPLS VPN技术组建数据调度网,没有满足相关的安全要求;3)上下级的调度之间没有部署必须的认证加密装置。
2.2随着技术的发展与电力企业的业务发展,现有的网络安全防护能力难以满足要求
随着信息技术的发展与电力企业自身业务的发展要求,网络安全越来越受到重视,但是现有的网络安全防护能力明显不足,缺乏有效的管控手段,同时管理水平也急需要提高。如今的电力企业还缺少一套完善的服务器病毒防护系统,有一些地市、县局都是使用的省公司所同一部署的趋势防毒软件,有的甚至还采用的是单机版的瑞星、江民、卡巴斯基等防病毒软件,相对而言,防护能力还有所不足。当受到攻击时,容易出现系统瘫痪。同时还没有能够建立起一套完善的数据备份恢复机制,如果数据受到破坏,那么所受到的损失将难以估量。没有一套完善的网管软件,难以对一些内部用户的过激行为进行有效的监管,例如IP盗用、冲突,滥用网络资源(BT下载等),等等。还没有能够建立起一套完善的评测和风险评估制度,对于当前电力企业的网络安全现状难以进行有效的评估。同时,我国也缺乏专业的评测机构,这就使得电力企业网络安全风险与隐患都难以被及时发现和进行有效的防范,使得电力企业的防范能力难以得到持续增强。
2.3电力企业服务器存在的安全隐患
在电力系统中有着十分众多的服务器。随着网络攻击手段与攻击技术的不断更新,服务器攻击愈演愈烈,因此拥有众多服务器的电力系统成为了攻击的首选对象。在电力企业中的服务器主要包括了数据库服务器、应用服务器、Web服务器、算费服务器、银电联网服务器等多种服务器,众多的服务器也使得其存在着严重的安全隐患:1)电力企业的网络中,每一个服务器都拥有自己独立的认证系统,但是这些服务器却缺乏统一的权限管理策略,管理员难以进行统一的有效管理;2)Web服务器和流媒体服务器长期遭受到来自于互联网的DDoS以及各种病毒的侵袭;3)让邮件服务器中受到大量的垃圾邮件的干扰,并且也难以进行有效的信息监管,经常会发生企业员工通过电子邮件来传递企业的机密信息的安全事件;4)权限划分不明确,容易受到来自外部黑客的攻击,例如通过SQL注入、脚本注入、命令注入方式等方式来窃取数据库中的机密数据;5)与总公司服务器通信过程中有些机密信息由于没有采取加密措施,很容易被窃听而泄密。
2.4各种恶意网页所带来的网络安全威胁
电力企业拥有自己的主题网站,并通过互联网与外网相连。每一个电脑使用者都会通过对网页的点击来寻找对自己有用的信息,电力企业内网与外网相连,因此,电力企业中的员工也会通过与外网的链接,从互联网中搜索对自己有用的信息,但是并不是所有的网页都是安全的,有一些网站的开发者或者是黑客会为了能够达到某种目的对网页进行修改,进而达到某种目的,当电力企业的内部员工通过电力企业内部的网络进行访问时,就会受到来自这些恶意网页的攻击。
2.5设备本身与系统软件存在漏洞
由于电力企业的信息化建设较早,这就导致了很多设备与软件都出现了各种安全漏洞,这些都导致了不良安全后果的程度增加。信息网络自身在操作系统、数据库以及通信协议等存在安全漏洞和隐蔽信道等不安全因素;存储介质损坏造成大量信息的丢失,残留信息泄密,计算机设备工作时产生的辐射电磁波造成的信息泄密。信息网络使用单位未及时修补或防范软件漏洞、采用弱口令设置、缺少访问控制以及攻击者利用软件默认设置进行攻击,是导致安全事件发生的主要原因。
3 电力企业网络信息安全防护措施
3.1进行网络安全风险评估
电力企业要解决网络安全问题并不能够仅仅是从技术上进行考虑,技术是安全的主体,但是却不能成为安全的灵魂,而管理才是安全的灵魂。网络安全离不开各种安全技术的具体实施以及各种安全产品的部署,但是现在在市面上出现的安全技术、安全产品实在是让人感觉眼花缭乱,难以进行选择,这时就需要进行风险分析,可行性分析等,对电力企业当前所面临的网络风险进行分析,并分析解决问题或最大程度降低风险的可行性,对收益与付出进行比较,并分析有哪一些产品能够让电力企业用自己最小的代价满足其对网络安全的需要,同时还需要考虑到安全与效率的权衡等。对于电力企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,将是电力企业实施安全建设必,须首先解决的问题,也是制定安全策略的基础与依据。
3.2构建防火墙
防火墙是一种能有效保护计算机网络安全的技术性措施,有软件防火墙与硬件防火墙这两类。防火墙能够有效的阻止网络中的各种非法访问以及构建起起一道安全的屏障,对于信息的输入、输出都能够进行有效的控制。可以在网络边界上通过硬件防火墙的构建,对电力企业内网与外网之间的通信进行监控,并能够有效的对内网和外网进行隔离,从而能够阻档外部网络的侵人。对于电力企业可以通过“防火墙+杀毒软件”的配置来对内部的服务器与计算机进行安全保护。同时还需要定期的进行升级。为了防止各种意外的发生,需要对各种数据进行定期的备份。需要定期的对个硬件以及各种备份的有效性进行检验。电力企业防火墙体系构建如下:
访问控制列表构建防火墙控制体系。通过对访问控制列表的调节能够有效的实现路由器对数据包的选择。通过对访问控制列表的增删,能有效的对网络进行控制,对流入和流出路由器接口的数据包进行过滤,达到部分网络防火墙的效果。
配置硬件防火墙。在电力企业中硬件防火墙的使用较多,但是能够真正发挥作用的就不多了。在使用硬件防火墙前,需要将防火墙与企业的整个网络配置好。首先需要对防火墙的工作模式进行选择,例如WatchGuard这款防火墙具有两种工作模式,一种是Drop-In Mode,另外一种是Routed Mode。前面的那一种模式主要是用于不带“非军事区”或者是没有内网的网络环节中,因此,电力企业中就应该选择Routed Mode这种模式。然后将其中的外接网口、内部接口、“非军事区”等选项添好,当对网络设置完成之后,就可以利用相应的GUI 程序与硬件防火墙进行连接,并对应将防火墙进行进一步的配置。在电力企业中有很多部门,每一个部门对网络安全的具体需求都不相同。因此,在设置时需要考虑到部门的具体情况。
3.3加强对计算机病毒的预防控制
计算机病毒的防治是网络安全的主要组成部分,而对电力企业的网络安全造成威胁的主要是各种新型的病毒。若要从根本上防止新型态病毒对企业的威胁,就必须从监控、强制、防止及恢复等四个阶段对新型态病毒进行管理。
控制计算机病毒爆发次数,降低病毒对业务所产生的影响。我们知道,病毒从感染单台客户机・扩散・爆发,均需要一段空窗期。很多时候,管理人员都是在病毒爆发之后才能够发现问题,但是这时已经太晚。因此需要能够在病毒扩散期就发现问题根源,才能够有效的降低病毒爆发的概率。
网络层防毒将能够有效的对病毒进行预防。在电力企业中,需要将网络病毒的防范作为最重要的防范对象,通过在网络接口和重要安全区域部署网络病毒墙,在网络层全面消除外来病毒的威胁,使得网络病毒不能再肆意传播,同时结合病毒所利用的传播途径,对整个安全策略进行贯彻。
预防病毒并不能够完全的依靠病毒的特征码,还必须要实现对病毒发作的整个生命周期进行管理。必须要建立起一套完善的预警机制、清除机制、修复机制,通过这些机制来保障病毒能够被高效处理,防毒系统需要在病毒代码到来之前,就能够通过可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等各种手段来对病毒进行有效控制,使得新病毒未进来的进不来、进来的又没有扩散的途径。在清除与修复阶段又可以对这些病毒高效清除,快速恢复系统至正常状态。
3.4开展电力企业内部的全员信息安全教育和培训活动
安全意识和相关技能的教育是企业安全管理中重要的内容,信息安全不仅仅是信息部门的事,它牵涉到企业所有的员工,为了保证安全的成功和有效,应当对企业各级管理人员,用户,技术人员进行安全培训,减少人为差错,失误造成的安全风险。
开展安全教育和培训还应该注意安全知识的层次性,主管信息安全工作的负责人或各级管理人员,重点是了解,掌握企业信息安全的整体策略及目标,信息安全体系的构成,安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等;用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
4 结论
网络安全是一个综合系统,不仅仅涉及到技术层面的问题同时还会涉及到管理上面的问题。网络上,无论是硬件还是软件出现问题都会对整个网络安全形成威胁,产生出网络安全问题。我们需要通过系统工程的观点、方法对当前电力企业中的网络安全现状进行分析,并提出提高网络安全性的措施。在电力企业的网络中,包括了个人、硬件设备、软件、数据等多个环节,这些环节在网络中所具有的地位与影响都需要从整个电力企业的网络系统去进行整体的看待和分析。电力企业的网络安全必须要进行风险评估才能够制定出合理的计划。
参考文献
[1]余志荣.浅析电力企业网络安全[J].福建电脑,2011(7).
[2]周伟.计算机网络安全技术的影响因素与防范措施[J].网友世界,2012(1).
[3]张鹏宇.电力行业网络安全技术研究[J].信息与电脑(理论版),2011(1).
篇3
关键词:网络安全;安全威胁;防范措施
前言
在计算机技术、信息技术和网络技术的发展下,企业在生产活动中都建立了属于自己的局域网和企业办公平台,从而使企业在生产和经营过程中的数据传输速度加快,而且业务系统及管理系统以网络分支的情况下分布开来,这对于企业管理效率的提升起到了积极的作用。网络技术在企业中的应用,有效的改变了企业的生产方式,推动了企业的快速发展,但其也带来了一定的隐患,如果不能及时对网络的安全进行有效的防范,则会给企业带来严重的经济损失。
1 企业网络威胁分析
目前企业在对计算机的使用过程中面临着来自众多因素的安全威胁,有些是有意为之,有些是无意之过,但不管何种威胁,对网络的安全都会带来较大的影响,甚至带来严重的后果。
1.1 人为的无意失误。企业工作人员由于在计算机使用过程中缺乏必要的安全意识,所设置的密码过于简单,或是随意将自己的账号和密码告之他人,从而使企业的信息安全受到威胁,使网络的安全性受到较大的影响。
1.2 人为的恶意攻击。这是恶意的利用网络的安全漏洞来获取计算机上的信息的行为,目前已成为网络最大的安全隐患。其在攻击时表现为两种不同的形式,其中一种是进行主动攻击,从而使信息的有效性和完整性受到破坏,另一种是被动攻击,这种攻击方法在不影响网络正常工作的情况下进行,对重要信息进行窃取和破译,且不易被察觉,这两种攻击方式虽然手法上有所不同,但其给计算机所带来的破坏性是相同的,都会导致机密数据被窃取,给企业带来无法估量的损失。
1.3 网络软件的漏洞和系统后门。计算机上所使用的软件和系统都由人来进行设计,所以其不可避免的会存在着漏洞,这就为黑客进行网络攻击提供了良好的通道,特别是系统后门是设计人员在设计之初为方便自己而设置的,而一旦后门被黑客攻击,则会带来无法相象的后果。
1.4 病毒是网络安全的一大隐患。计算机病毒每天都呈不断的增长趋势,而且各种新病毒频繁的出现,这就给网络防御系统带来了较大的难题,一旦计算机受到病毒的感染,则其会不断的被复制和发生变异,瞬间则会使系统崩溃,使网络上的信息资源受到破坏。
2 企业网络脆弱性分析
2.1 难以抵制针对系统自身缺陷的攻击。此类攻击手段包括特洛伊木马、口令猜测、缓冲区溢出等。利用系统固有的或系统配置及管理过程中的安全漏洞,穿透或绕过安全设施的防护策略,达到非法访问直至控制系统的目的,并以此为跳板,继续攻击其它系统。
2.2 安全监控手段不多。企业局域网对于流量的管理还缺乏必要的监控手段,从而使利用P2P和BT下载的现象较为猖獗,这样就导致本来就限流量的网络发生阻塞,使企业各项正常的业务不能进行,甚至导致系统瘫痪的可能。
2.3 防病毒系统难以应对复杂多变的病毒环境。由于病毒的更新速度越来越快,这就导致防病毒系统无法应对当前病毒快速的特点,特别是目前一些病毒,其在传统病毒的基础上与黑客攻击技术有效的结合为一体,可以自动发现系统漏洞进行传播和攻击,而且传播速度和感染速度特别快,具有极大的破坏力,这类病毒不仅在传播过程中会破坏到计算机系统,而且还会导致网络发生阻塞,从而使正常工作无法进行。
2.4 网络设计不合理。网络设计是指拓扑结构的设计和各种网络设备的选择和配置等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性。企业的网络架构简单,交换机配置不合理,都会对网络造成威胁。
2.5 缺少严格合理的安全管理制度。政策的不完善、落实不彻底、安全管理制度的不健全、措施不得力和缺乏有效的动态管理网络系统安全策略的能力等都可能形成对系统安全的威胁。
3 加强企业网络不安全因素的防范措施
3.1 防火墙部署。防火墙是建立在内部专有网络和外部公有网络之间的。所有来自公网的传输信息或从内网发出的信息都必须穿过防火墙。网络访问的安全一方面我们要配置防火墙禁止对内访问,以防止互联网上黑客的非法入侵;另一方面对允许对内访问的合法用户设立安全访问区域。防火墙是在系统内部和外部之间的隔离层,可保护内部系统不被外部系统攻击。
通过配置安全访问控制策略,可确保与外界可靠、安全连接。防火墙的功能是对访问用户进行过滤,通过防火墙的设置,对内网、公网、DMZ区进行划分,并实施安全策略,防止外部用户或内部用户彼此之间的恶性攻击。同时防火墙支持VPN功能,对经常出差的领导、员工支持远程私有网络,用户通过公网可以象访问本地内部局域网一样任意进行访问。此外,防火墙还可以收集和记录关于系统和网络使用的多种信息,为流量监控和入侵检测提供可靠的数据支持。
3.2 防病毒系统。计算机网络安全建设中其中最为关键的一个部分即是加强对防病毒系统的建设,这就需要在实际工作中,通过科学合理对防病毒系统进行装置,从而实现对病毒的集中管理,利用中心控制室来对局域网的计算机和服务器进行有效的监视,从而加强病毒的防范。而对于进入到计算机系统内的病毒则需要做出及时的影响,预以及时清除。
3.3 流量监控系统。什么是流量监控?众所周知,网络通信是通过数据包来完成的,所有信息都包含在网络通信数据包中。两台计算机通过网络“沟通”,是借助发送与接收数据包来完成的。所谓流量监控,实际上就是针对这些网络通信数据包进行管理与控制,同时进行优化与限制。流量监控的目的是允许并保证有用数据包的高效传输,禁止或限制非法数据包传输,一保一限是流量监控的本质。在P2P技术广泛应用的今天,企业部署流量监控是非常有必要的。
3.4 合理的配置策略。通过将企业网络划分为虚拟网络VLAN网段,这样不仅可以有效的增加网络连接的灵活性,而且可以对网络上的广播进行有效的控制,减少没必要的广播,从而有效的释放带宽,不信有效的提高网络利用率,而且使网络的安全性和保密性能得到有效的提升,确保了网络安全管理的实现。
3.5 安全管理制度。目前我国还没有制订统一的网络安全管理规范,所以在当前网络安全不断受到威胁的情况下,需要我们首先在设计上对安全功能进行完善,其次还要加强网络安全管理制度的建立,并确保各种安全措施得以落实。对于企业中安全等级要求较高的系统,则需要由专人进行管理,实行严格的出入管理,利用不同手段对出入人员进行识别和登记管理,从而确保企业网络信息的安全性。
4 结束语
网络安全是需要我们长期坚持的一项工作,同时还需要利用综合、完善的策略来进行部署,加强网络管理人员安全意识的提升,明确网络安全的框架体系,从而不断的提升网络安全的防范层次和结构,从而灵活对安全策略进行部署,确保一个安全、放心的网络环境。
参考文献
[1]彭俊好.信息安全风险评估方法综述[J].网络安全技术与应用,2006,3.
篇4
关键词:国有企业;局域网;安全;防范
中图分类号:TP393.08
保护信息系统的安全,要综合考虑技术保护和管理保护两种实现方式。技术保护方式是根据风险产生的技术特点和安全目标的要求而采用相应的安全机制、技术措施和专用设备。管理保护方式则根据有关法律法规和安全目标的要求,针对信息系统的运行、有关人员的行为和技术过程而制订的相应管理制度[1]。
1 国有企业局域网安全的总体目标
确定网络安全总体目标,应该满足一定的要求:
1.1 机密性(Confidentiality)。保证机密信息不泄漏给非授权用户或实体,也不能供其利用。对信息的访问和利用,应该遵循完整健壮的认证授权机制。
1.2 完整性(Integrity)。保证数据的完整性和一致性,即信息在存储或传输过程中保持不被修改、不被破坏和不被丢失的特性。
1.3 可用性(Availability)。保证合法用户或实体对信息和资源的使用不会被异常拒绝,允许按照需求使用。网络环境下,拒绝服务攻击、破环网络设施和系统正常运行的中断等都属于对可用性原则的破坏。
2 国有企业局域网络攻击及面临的威胁分析
总的来说,国有企业面临的安全威胁主要是两个方面:(1)来自企业网络内部的误操作和恶意攻击。内部网的人员往往有公司内网局部系统的合法访问或管理权限,所以他们的误操作行为可能会给公司内网带来严重的危害;尤其是机要子网与普通子网的安全级别不同,可能导致窃听、伪造信息的情况发生;同时源自公司内网内部的恶意网络行为也可能导致严重的网络安全问题[2];(2)来自企业网络外不得恶意攻击。接入Internet给外网带来了工作和信息交换的便利,但同时也给外网带来了很大的安全威胁。首先,Internet网络上随机的恶意漏洞扫描是无时不在的,而这些恶意的漏洞扫描往往是大规模网络入侵、渗透和破坏行为的前兆。这也就是说,外网随时都可能面临着来自Internet网络的恶意攻击。其次,网络病毒经由Internet网络可以迅速的感染外网,轻者造成网络或系统资源的浪费,严重的可能造成数据或系统的崩溃甚至局部网络的完全瘫痪。
3 企业网络安全性急需重视
企业已经越来越依赖网络以及企业内部网络来支持重要的工作流程,内部网络断线所带来的成本也急剧升高。当这--N显得迫在眉睫时,如何确保核心网络系统的稳定性就变得非常重要,即使一个企业的虚拟网络或防火墙只是短暂的中断,也都可能会中断非常高额的交易,导致收入流失、客户不满意以及生产力的降低[3]。
尽管所有的企业都应该对安全性加以关注,但其中一些更要注意。那些存储有私密信息或专有信息、并依靠这些信息运作的企业尤其需要一套强大而可靠的安全性解决方案,如政府机构、金融机构、保险服务机构、高科技开发商以及各类医疗机构。通过一部中央控制台来进行配置和管理的安全性解决方案能够为此类企业提供巨大帮助。这类安全性解决方案使IT管理员们能够轻松地对网络的安全性进行升级,从而适应不断变化的商务需求,并帮助企业对用户访问保持有效的控制。例如,IT管理员能够根据最近发现的网络攻击行为迅速调整网络的安全性级别。此外,用户很难在终端系统上屏蔽掉由一台远程服务器控制的网络安全特性。IT管理人员们将非常自信:一旦他们在整个网络中配置了适当的安全性规则,不论是用户还是系统的安全性都将得到保证,并且始终安全[4]。
而对于那些安全性要求较高的企业来说,基于软件的解决方案(例如个人防火墙以及防病毒扫描程序等)都不够强大,无法满足用户的要求。因为即使一个通过电子邮件传送过来的恶意脚本程序,都能轻松将这些防护措施屏蔽掉,甚至是那些运行在主机上的“友好”应用都可能为避免驱动程序的冲突而无意中关掉这些安全性防护软件。一旦这些软件系统失效,终端系统将非常容易受到攻击。更为可怕的是,网络中的其他部分也将处在攻击威胁之下。
4 国有企业局域网络攻击与安全防范措施
4.1 安全防范要点。公司网络目前从内部至Internet并没有做相关的安全措施,特别是核心区和互联区存在很大安全隐患,黑客攻击、信息丢失、服务被拒绝等,一旦发生任何攻击,对公司网络而言是致命性的,影响公司业务的正常运转。针对公司网络的结构及特点确定以下几个必须考虑的安全防范要点:(1)网络安全隔离。为了各行业间、部门之间加强业务联系以及信息化建设都需要网络和网络之间互联,交流信息、信息共享等措施,给企事业单位的工作带来极大的便利,同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以网络之间进行有效的安全隔离是必需的;(2)网络监控措施。网间隔离起边缘区保护作用,无法防备内部不满者的攻击行为。往往内部来的攻击比外部攻击更具有致命性。在不影响网络的正常运行的情况下,增加内部网络监控机制可以做到最大限度的网络资源保护。从网络监控中得到统计信息来确定网络安全规范及安全风险评估。网络安全目标为保证整个网络的正常运行;在受到黑客攻击的情况下,能够保证网络系统正常运行。保证信息数据的完整性和保密性:在网络传输时数据不被修改和不被窃取。具有先进的入侵检测体系;正确确定安全策略及做科学的安全风险评估。保证网络的稳定性:安全措施不形成网络的负担,而且提供全天候满意服务和应用。
4.2 方案具体实施过程中包括:(1)防火墙使用方案。根据公司网络整体安全考虑采用一台瑞星防火墙安排在互联区。其中WWW、数据库、邮件、DNS等对外服务器连接在防火墙的DMZ区与内、外网间进行隔离。建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核,严格控制外网用户非法访问。防火墙的DMZ区访问控制规则,只打开必需的服务HTTP、FTP、SMTP、POP3以及所需其他服务。防范外部来的拒绝服务攻击。对办公网用户进行流量控制,采用时间安全规则变化策略,控制内网用户访问外网时间。防火墙设置IP地址MAC地址绑定,防止IP地址欺骗。定期查看防火墙访问日志。严格控制防火墙的管理员的权限;(2)入侵检测(IDS)系统方案。以太网的共享通信介质技术,在进行网络通信时,随着数据包在网络上的广播,任何联网的计算机都可以监听正在通信的数据包,因此存在着安全隐患,网络入侵系统利用以太网的这种特性,进行有效的网络监控,调整网络资源分配,及时发现不正常数据包,并根据安全策略原则进行处理,确保网络系统的安全。入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据公司网络的特点,采用瑞星的入侵检测系统。
5 结束语
由于国有企业局域网的安全问题是一个系统工程,在制定安全网络策略时应尽可能地考虑到网络中的各个方面及网络的拓展性,采用TCP/IP进行网络通信的网络,在网络层对计算机通信进行安全保护是业界流行的安全解决办法。
参考文献:
[1]李春洁.企业局域网的建设与维护[J].信息通信,2013(10):116-117.
[2]郝静.提高企业局域网带宽质量五步骤[J].计算机与网络,2014(Z1):67.
[3]王大明.企业局域网维护管理策略的研究和分析[J].电子技术与软件工程,2014(29):28.
[4]张涛,周春红.无线局域网在企业中的架设与应用[J].电子世界,2014(05):165-166.
篇5
关键词:高职 网络专业 教学 改革
1 概述
21世纪是以微电脑、信息高速公路、纳米技术、生物工程技术等为主导的知识经济时代。随着信息技术、通信技术的不断发展,网络技术在经济生活中的重要地位日益显现,加大网络技术人才培养力度,成为时代的呼唤。高职高专教育应培养“实用型”人才,而非“学术型”人才,学生最终应能符合企业的用人需求,走进社会就能找到工作,实现零距离就业,为了实现这样的目标,高职专业课程教学改革是事在必行的。本文以高职网络专业教学改革为例,探讨高职院校的教学改革与实践经验。
2 高职网络专业的培养目标定位
高职教育是为国家和地方经济发展培养适应生产、建设、管理和服务第一线需要的数以百万计的应用型高素质人才。针对网络技术专业操作能力较强的特点,我们制定了较科学的培养目标,我们培养学生具备以下6种能力:
①能够熟练运用、调试网络设备,具备组建与维护企业网络技能。
②能够熟练安装管理Windows2003和Linux两大操作系统以及常用网络服务。
③能够熟练运用开发动态网站。
④具备基本的网络安全意识,计算机和网络安全防护技能与网络管理技能。
⑤能够规范地完成日常各种专业文档的编写。
⑥具备企业员工必备的基本职业素质。
3 教学模式的改革
在教学过程中,采用“工作过程系统化”的教学模式,“工作过程系统化”的教学模式与普通的课堂教学模式不同,涉及到师生角色的转换和学生实践参与度的提高,它对教学场地、教学工具、设备等都提出了较高的要求。通过创造仿真的工作环境,按工作过程的一定步骤进行教学,突出课程的实践性,学生的主动性,让学生在教师设计的学习环境中进行实际操作,要求学生完成一定的工作任务,学生从专业技能、需求分析到现场管理等方面得到全方位的锻炼,由实践操作领悟到一定的理论知识。例如,《企业网络组建与维护》,就可以按需求分析,设备选型,设备连接,设备配置,网络测试与维护等步骤进行教学。
4 教学设计的改革
在教学设计中,基于“工作过程系统化”的教学模式,将课程分为若干个课程单元,再将每个单元细分为若干个工作任务,组织学生按任务驱动的模式开展学习,充分调动学生的学习积极性,进行职业技能和职业素质的培养,促进知识的巩固及职业迁移能力培养,使学生具有更大的发展潜力。
5 课程体系的改革
教学内容和课程体系的改革是实现人才培养模式的主要落脚点,也是教学改革的重点和难点。根据教学模式和教学改革的基本思想,我们重组了专业课程体系结构,将专业课教学分为六个模块:
5.1 《计算机网络基础》与《企业网络组建与维护》相结合
在《企业网络组建与维护》教学过程中,讲解部分用到的网络基础知识,通过该模块的教学,要求学生掌握交换机、路由器的主要配置和一定的网络基础知识,培养学生的企业网络组建与维护技能。
5.2 《Linux系统管理》与《Linux网络服务》相结合
先开设《Linux系统管理》,再开设《Linux网络服务》,最后是案例教学,将系统管理命令与服务配置相结合,将学生的Linux操作技能提升到一个高度,通过该模块的教学,培养学生安装管理Linux的常用服务的技能。
5.3 《Windows系统管理》与《Windows网络服务》相结合
先开设《Windows系统管理》,再开设《Windows网络服务》,通过该模块的教学,培养学生安装管理Windows以及常用服务的技能。
5.4 《SQL2005》与《 (C#)》相结合
先开设《SQL2005》,再开设《 (C#)》,通过该模块的教学,培养学生运用开发动态网站的技能。
5.5 附属课程
先后开设《计算机病毒防治》、《网络安全》、《网络管理》,通过该模块的教学,培养学生的网络安全意识,计算机和网络安全防护技能与网络管理技能。
5.6 项目实践
将学生分组,完成项目实践,分方案设计,方案实施,项目答辩,项目评价四个步骤进行,巩固学生前面所学模块的技能与知识,培养学生日常各种专业文档的编写能力与基本职业素质。
6 Linux教学改革实施方案简述
6.1 概述教学内容组织
本模块主要包括Linux系统管理和服务配置两部分,根据课程改革的思想,可将该课程教学单元设计为:Linux安装、目录和文件管理、用户和组管理、进程和服务管理、存储设备管理、软件包管理、网络基本配置、DHCP服务器配置、FTP服务器配置、Samba服务器配置、DNS服务器配置、Apache服务器配置、邮件服务器配置、防火墙配置、服务器配置等。再将每个单元分为若干任务,每个任务按照多个工作步骤进行教学,如服务器配置部分,按照认识服务、安装软件、了解文件、配置服务、启动服务、测试服务的步骤进行边操作边教学,实现“教、做、学、用”的统一,让学生如同处在真实的工作环境中,达到掌握好本课程的能力目标和知识目标的目的。
6.2 能力训练设计
本课程设计的主要工作任务如下表所示:
7 教学改革的成果及存在的问题
高职网络专业课程改革的实施,使专业教学内容与企业人才需求紧密结合,教学模式教学方法与教学设计更加切实可行,教学过程中的重点由理论教学转变到实践教学,提高了学生学习的积极性与主动性,学生能通过实践技能掌握适度的理论知识,扩展了学生的知识面,为学生更好地就业打下了坚实的基础。
当然,在教学改革中也存在一些问题:
要求教师不但有较强的理论水平,特别要有较强的实践能力,最好有一定的企业工作经历。
同时,也对实验条件提出了更高的要求。
还有,要求学生也要有较强的自主学习、分析问题、解决问题的能力。
8 结束语
通过多年的网络技术专业课程的教学实践,采用“工作过程系统化”的教学模式,“课程单元”的教学设计,“工作任务驱动”的教学手段,符合网络专业培养目标的要求,乃至所有高职工科专业的教学都能适应,学生通过完成工作任务,学习成就感明显增强,团结协助意识增强,职业素质明显提高,就业能力也有较大的提升。
参考文献:
[1]姜大源.职业教育学研究新论.北京:教育科学出版社,2007.
[2]赵有生.高职教育模块式教学模式研究:现代教育科学,2004,(4).
[3]教育部高等教育司.高职高专院校人才培养工作水平评估:人民邮电出版社,2004/6.
篇6
关键词:网络 设计 实验 应用
一、引言
随着计算机技术以及网络技术的迅速发展,拥有计算机、应用网络已经成为人们生活中的重要组成部分。网络应用型人才被社会广泛欢迎,探索培养网络应用型人才的有效方法成为摆在计算机相关专业教育部门的课题。
二、社会网络人才需求状况
在我国,越来越多的政府机构和行业企业都开始依赖网络技术进行各自的生产、经营和管理。可以说,没有网络,就无法进入真正的计算机时代;没有网络,企业就无法实现信息化。由此看来,网络化已经成为现今社会竞争和发展的关键因素,计算机网络技术人才的培养,也随之成为当前网络化建设的当务之急。就目前的状况来看,实施网络化建设的部门严重缺乏从事网络系统的构建、运行和维护等工作的专业网络技术人员。全国的高等院校每年为社会输送区区几万计算机网络专业的毕业生,而整个社会需要的却是数以百万计的具有专业技能的网络技术人员,人才供应能力远远小于实际的社会需求。
三、高校网络人才培养情况
一直以来,高等院校的学历教育偏重于网络技术的基本理论和基础知识的传授,缺乏网络技术应用的实际操作技能和经验,无法满足所在单位对网络技术人员的工作要求。这就造成了一种现象,一方面,用人单位求贤若渴;另一方面,毕业生的就业困难,这已经成为了一种严重并且普遍的社会问题。
网络技术是理论和实践结合十分紧密的一门学问,网络技术人才市场,越来越关注技术人员的实际经验和动手操作能力。学生也有迫切接触社会、提高工作技能的需求。因此,针对高等院校中普遍存在着理论强、实践弱的现象,很多高校组建了网络实验室,在网络实验室里提供了真实的网络环境,可以让学生亲自动手调试、配置网络,从而让学生直观、全方位地了解各种网络设备和应用环境,真正加深对网络原理、协议、标准的认识。通过在网络实验室的学习,能真正提高学生的网络技能和实战能力,同时具有扎实的理论基础和较强的实践动手能力,
(一)开展网络设计性实验的意义
网络实验室虽然提供了一个很好的实验平台,但学校平常上课的时候,是一节实验课讲一个具体的实验,比如这节课讲VLAN划分,下节课讲动态路由。学生可能每节课都学得不错,可是到了学期结束的时候,他们整体运用所学知识解决问题的能力如何,就不清楚了。开展设计性实验是解决这一问题的好办法。
设计性实验,是指给定实验目的要求和实验条件,由学生自行设计实验方案并加以实现的实验。在网络实验室中开设设计性实验,能够综合以往所学的基础理论知识和单项实践技能,通过贴近实际的设计题目,一方面,增强了学生解决实际问题的能力;另一方面,在一定程度上也积累了实践经验。
(二)网络设计性实验的实施方案
为使网络设计性实验达到培养应用型人才的初衷,制定了切实可行的实施方案。
首先,明确实验目的。即通过了解不同网络的需求和功能,研究网络的布线方案等环节,写出网络的总体需求分析报告,绘制网络结构图,进行布线选型和设备选型,确定IP地址分配方案以及网络管理方案,并在模拟环境下进行测试。
其次,合理拟定设计题目。经过对目前各行各业网络应用状况的认真考察和研究,共设题目五个,分别是:校园网络设计、智能小区网络设计、政府办公网络设计、企业网络设计和校园公共机房网络设计。五个题目的内容大致包括了目前网络组建的几种不同的应用形式,学生可以了解各种条件下的网络在需求上的特点,对建网初期最重要的需求分析有了更深刻的认识。
再次,根据各设计题目的应用特点,分别策划各设计任务的背景条件。如校园网题目的背景为“一所学校有6栋5层楼宇,平均每栋楼宇有节点150个,具有一般校园网络的基本需求,其中教务管理节点30,分布在6栋楼宇的不同楼层;另外某台分布层交换机上连接有提供学习资料的服务器,以及学生宿舍楼和教工宿舍楼,学校规定学生只能访问学习资料服务器,但不能访问教工宿舍楼。”等,使题目的设计更真实,针对性更强。
最后,完成设计方案。要求学生根据各自题目的具体要求,了解相关网络的建设情况,写出网络的总体需求分析报告,确定网络逻辑结构并绘制网络结构图,进行布线选型和设备选型,根据情况进行IP地址设计(划分的原则、方法及地址列表),写出网络管理方案(要注重网络安全的考虑),在模拟环境下测试关键技术的网络连通情况,并练习使用专业网络测试议进行线路测试。
在这个设计性实验方案中,学生需根据任务背景中的一些特殊组网要求,在网络实验室的实验条件下进行连接配置,由于所设计的关键技术实验内容都是一些网络建设过程中的常见问题,所以对提高学生解决实际问题的能力有一定益处。整个过程突出了实用性和操作性。
(三)网络设计性实验的实施效果
通过网络设计性实验的实施,一方面提升了学生的网络专业技术技能,使学生对各种常见网络的搭建环境有了直接的认识,掌握了不同环境要求下的组网方法。从学生的反馈可以看出,95%以上的学生认为,通过这样的设计性实验达到了理论联系实际的目的,真正了解了网络组建的步骤,增强了实践操作技能。另一方面提高了学生的就业竞争力,比如企业中的网络技术人员要承担网络设计、系统集成、综合布线、系统测试等类工作,大的企业会设立不同的岗位,各自分派专人负责,而中小企业往往要求一岗或一人身兼数职。经过网络设计性实验的学习,学生掌握了网络建设工程中从需求分析、物理设计、逻辑设计,到设备选型、布线施工、网络安全设计、网络管理方案,再到测试验收等建设网络各环节的流程及其设计方法,对于未来的求职从业来说,从技能的训练方面会有更多的优势,从择业的范围上会有更多的适应性。
四、结束语
在社会对于网络专业人员迫切需求的前提下,在高校相关专业理论教学的基础上开展网络设计性实验,能有效地提高学生的网络设计和操作技能,对于应用型人才的培养起到了促进作用。
参考文献
胡胜红,《网络工程原理与实践教程》,人民邮电出版社,2005
张凤翔,《局域网组建与维护》,上海交通大学出版社,2004
蒋丽,《局域网、企业网实现》,电子工业出版社,2003
篇7
关键词:网络;安全;防范
中图分类号:TP393.08
计算机网络安全是指通过有效的技术措施及网络管理控制,来保证网络环境内数据的完整性、保密性和可使用性的保护。在计算机网络安全中又可以分为逻辑安全和物理安全。物理安全主要是包括设备、设施在保护下,不受到丢失和破坏等物理伤害。逻辑安全则是信息保密性、完整性以及可用性。
随着信息化建设的完善,社会逐步进入信息社会,经济的发展也离不开网络技术,同时,网络技术的应用也加速了企业的进步,改善了生活水平。从企业的建设来说,为实现信息化,要加强计算机网络建设,促进企业更好更快发展。网络技术在企业中的应用就会出现各种网络安全问题,其中一个重要的方面就是内部网络安全。这里主要是从企业内部网络安全出发,讨论存在的问题,从不同的角度来探讨相关防护策略和方法。企业在运行管理过程中,其内部网络是一种很重要的管理渠道和资源,有着很重要的地位。这就很有必要将内部管理的安全控制作为核心议题来建设,特别是对于高度信息化的时代,更需要做好企业内部网络的安全管理及防护,维护内部网络的安全运行,提高员工工作效率,加速企业发展。
1企业内部网络存在的安全问题分析
企业内部网络的应用,在资源共享、信息传播以及日常管理等多个方面都有了很大提升,同时也要求更高的安全性与私密性。与企业局域网和外部网络相比,内部网络有所不同,其安全直接影响到了企业的资源、信息以及机密数据的安全性,所以必须得到足够的重视。目前,在各种网络安全威胁的影响下,内部网络也很难幸免,也会出现层出不穷的安全事件。企业的资料会因为病毒入侵而被拦截和窃听,同时,在企业操作人员素质偏低的情况下,错误的操作和方法也极有可能给内部网络安全带来很多不确定因素,使得内部网络不能正常运行。这类问题的出现,是企业内部网络都需要积极面对、解决的,要对内部网络的安全问题做到充分认识。开放的网络给企业的发展提供动力,适应企业市场化的需求,同时并存的网络安全问题也给企业带来烦恼。在这种情况下,必须合理制定各类网络安全防护策略,综合解决网络建设问题和安全漏洞。
因为企业内部网络的共性,就形成了内部网中的硬件、软件以及外界的直接或间接相连,这就形成了内部网络中操作系统、应用软件、通信协议和网络服务等方面的安全漏洞。如入侵者利用包含漏洞的对全县执行任意代码的SMB漏洞;通过发送恶意RPC请求对用户系统进行入侵的RPC服务漏洞,利用系统权限执行任意指令;利用系统进程权限进行任意指令的SMTP漏洞;通过SNMP获取系统信息而对系统命令、文件进行更改的SNMP服务漏洞;利用空用户名和密码登陆获取root权限而威胁主机的FTP后门漏洞等。这些漏洞的存在都极大程度的威胁到了内部网络的安全。
2企业内部网络的防护讨论
要应对好企业内部网络存在的问题主要是通过以下几个步骤来实现,首先是做好内部网络的防护、应急制度,其次是根据网络安全技术相关标准制定完善的网络安全方案,最后是提高人员素质,建立完善的网络管理机构,通过这几步来保证内部网络的安全运行。
2.1做好内部网络的防护及应急制度
企业内部网络的正常运行,直接保证了业务的顺利开展以及信息的高效传递,极大的提高了工作效率。这些都是在内部网络能在安全运行的前提下完成的,为达到这一目的,首先是要完善相关网络安全制度,在安全制度下按照条文规定进行安全防护基线和步骤的确定,其中包括设备管理制度、机房管理制度、病毒防范制度以及操作安全管理制度等。内部网络安全的相关特征、行为、重点内容以及表象都在相关安全规章制度下进行规定和解释,对于不符合内部网络安全行为的操作都需要对应的解决方案。其次,对于各类突发安全问题,需要提前制定好安全应急机制,做到防护和解决方案的及时开展。
2.2根据网络安全技术相关标准制定完善的网络安全方案
企业内部网络的运行就会存在各类安全问题,而其中最先需要保证的就是内部网络系统的安全,这就需要对系统做好控制和管理,保证内部系统的运行始终是在可控和安全状态。对于系统的运行,要做到时时监控、检查,及时发现并处理各类安全隐患,使其消灭在萌芽状态。其次是做好防火墙的实施方案,利用科学的方案对不安全服务进行过滤,加强内部网络的安全性。再者,对于病毒防治要制定统一的方案并及时实施,对整个网络系统的所有设备做到全面防范于监控。及时开展主服务器的检测,定时监控、扫描病毒,如存在病毒隐患需及时清理解决。
在网络运行中,要重视杀毒软件的作用,管理好杀毒软件,做到定期升级和集中设置以保证其实用性。同时,对内部网络的访问要加强控制,定期检查和备份重要的数据、文件和资料,利用各种数据恢复软件,保证内部数据的安全。运行中也可能存在恶意攻击、黑客入侵以及非法访问等行为,这就需要提前制定好相关入侵检测方案,出现上述行为时能及时实施,做好防范工作。其次,检测和监控内部网络中存在的安全漏洞,制定好合理的不就措置,如企业重要的数据库服务器出现漏洞,就需要根据措施进行及时补救,制止漏洞的扩张。
2.3提高人员素质,建立完善的网络管理机构
企业的管理最终是人员的管理,企业运行所需的财务管理、人力资源管理以及本文讨论的网络安全管理最终都是做好人员的管理,需要专业技术、综合素质高的强有力的人才队伍,而这一点随着当今世界的信息化进程加剧和企业网络需求增大而更显重要。为应对企业内部网络运行存在的问题,从安全运行的角度出发,就需要建立专门的网络安全管理部门和具有高水平的人才,这类人要具备完善的计算机知识,熟知网络管理相关理论和内部控制知识,能承担起内部网络管理和安全控制工作。技术人员的管理中药做好纠察、问责制度和奖励制度,对于内部网络安全管理中存在的问题就应该进行相关处罚,相反,对于表现优秀,能做好安全管理工作的人员进行适当奖励,综合使用奖惩激励制度,做好再教育工作。对他们进行定期培训,主要包括网络安全应急、网络安全防护等方面的知识,提高他们的操作能力和业务水平。
计算机的网络安全已经成为了全球化的问题,在各行各业都引起了广泛的思考,也是研究的重点,企业内部的计算机网络也有了长足的发展。在社会主义经济不断完善的前提下,会存在越来越多的信息交流,同时也会存在越来越多的安全问题。目前对于内部见算计网络的安全管理方面认识还不够,还未能有多样化的技术投入运用,需要对内部计算机网络有进一步的管理来保障信息交流的畅通和安全。
参考文献:
[1]蒲渝媛.新形势下计算机信息保密与安全防范[J].现代企业,2013,3.
[2]于军旗.计算机系统安全与计算机网络安全[J].数字技术与应用,2013,2.
[3]唐雅玲.计算机网络安全监控系统的研究与实现[J].数字技术与应用,2013,2.
篇8
【关键词】InternetIntranet局域网
Internet在全球的发展和普及,企业网络技术的发展,以及企业生存和发展的需要促成了企业网的形成。Intranet是传统企业网与Internet相结合的新型企业网络,是一个采用Internet技术建立的机构内联网络。它以TCP/IP协议作为基础,以Web为核心应用,构成统一和便利的信息交换平台。它通过简单的浏览界面,方便地提供诸如E-mail、文件传输(FTP)、电子公告和新闻、数据查询等服务,并且可与Internet连接,实现企业内部网上用户对Internet的浏览、查询,同时对外提供信息服务,本企业信息。
Intranet的主要特征
企业建立Intranet的目的主要是为了满足其在管理、信息获取和、资源共享及提高效率等方面的要求,是基于企业内部的需求。因此虽然Intranet是在Internet技术上发展起来的,但它和Internet有着一定的差别。并且Intranet也不同于传统的企业内部的局域网。企业网Intranet的主要特征表现在以下几个方面:
(1)Intranet除了可实现Internet的信息查询、信息、资源共享等功能外,更主要的是其可作为企业全方位的管理信息系统,实现企业的生产管理、进销存管理和财务管理等功能。这种基于网络的管理信息系统相比传统的管理信息系统能更加方便有效地进行管理、维护,可方便快捷地、更新企业的各种信息。
(2)在Internet上信息主要以静态页面为主,用户对信息的访问以查询为主,其信息由制作公司制作后放在Web服务器上。而Intranet则不同,其信息主要为企业内部使用,并且大部分业务都和数据库有关,因此要求Intranet的页面是动态的,能够实时反应数据库的内容,用户除了查询数据库外,还可以增加、修改和删除数据库的内容。
(3)Intranet的管理侧重于机构内部的管理,其安全防范措施要求非常严格,对网上用户有严格的权限控制,以确定用户是否可访问某部门的数据。并且通过防火墙等安全机制,控制外部用户对企业内部数据的获取。
(4)Intranet与传统的企业网相比,虽然还是企业内部的局域网络(或多个局域网相连的广域网),但它在技术上则以Internet的TCP/IP协议和Web技术规范为基础,可实现任意的点对点的通信,而且通过Web服务器和Internet的其他服务器,完成以往无法实现的功能。
Intranet的构建要点
企业建立Intranet的目的是为满足企业自身发展的需要,因此应根据企业的实际情况和要求来确立所建立的Intranet所应具有那些具体功能以及如何去实现这样一个Intranet。所以不同的企业构建Intranet可能会有不同的方法。但是Intranet的实现有其共同的、基本的构建要点。这主要有以下几个方面:
2.1网络拓扑结构的规划
在规划Intranet的网络拓扑结构时,应根据企业规模的大小、分布、对多媒体的需求等实际情况加以确定。一般可按以下原则来确立:
(1)费用低
一般地在选择网络拓扑结构的同时便大致确立了所要选取的传输介质、专用设备、安装方式等。例如选择总线网络拓扑结构时一般选用同轴电缆作为传输介质,选择星形拓扑结构时需要选用集线器产品,因此每一种网络拓扑结构对应的所需初期投资、以后的安装维护费用都是不等的,在满足其它要求的同时,应尽量选择投资费用较低的网络拓扑结构。
(2)良好的灵活性和可扩充性
在选择网络拓扑结构时应考虑企业将来的发展,并且网络中的设备不是一成不变的,对一些设备的更新换代或设备位置的变动,所选取的网络拓扑结构应该能够方便容易地进行配置以满足新的要求。
(3)稳定性高
稳定性对于一个网络拓扑结构是至关重要的。在网络中会经常发生节点故障或传输介质故障,一个稳定性高的网络拓扑结构应具有良好的故障诊断和故障隔离能力,以使这些故障对整个网络的影响减至最小。
(4)因地制宜
选择网络拓扑结构应根据网络中各节点的分布状况,因地制宜地选择不同的网络拓扑结构。例如对于节点比较集中的场合多选用星形拓扑结构,而节点比较分散时则可以选用总线型拓扑结构。另外,若单一的网络拓扑结构不能满足要求,则可选择混合的拓扑结构。例如,假设一个网络中节点主要分布在两个不同的地方,则可以在该两个节点密集的场所选用星型拓扑结构,然后使用总线拓扑结构将这两个地方连接起来。
目前常用的局域网技术有以太网、快速以太网、FDDI、ATM等多种。其中交换式快速以太网以其技术成熟、组网灵活方便、设备支持厂家多、工程造价低、性能优良等特点,在局域网中被广泛采用。对于网络传输性能要求特别高的网络可考虑采用ATM技术,但其网络造价相当高,技术也较复杂。
为获取Internet上的各种资源及Internet所提供的各种服务,规划Intranet时还应考虑接入Internet。目前,接入Internet方式主要有:通过公共分组网接入、通过帧中继接入、通过ISDN接入或通过数字租用线路接入,及目前较新的远程连接技术ASDL。在选择以何种方式接入Internet时应根据Intranet的规模、对数据传输速率的要求及企业的经济实力来确定。数字租用线路方式可提供较高的带宽和较高的数据传输质量,但是费用昂贵。公共分组网方式数据传输质量较高,费用也较低,但数据传输量较小。ISDN可提供较高的带宽,可同时传输数据和声音,并且费用相对较低,是中小规模Intranet接入Internet的较佳方式。
2.2Intranet的硬件配置
在选择组成Intranet的硬件时,着重应考虑服务器的选择。由于服务器在网络中运行网络操作系统、进行网络管理或是提供网络上可用共享资源,因此对服务器的选择显然不同于一般的普通客户机,同时应该按照服务器的不同类型,如WWW服务器、数据库服务器、打印服务器等而应该有所侧重。一般要求所选用的服务器具有大的存储容量,数吉(G)或数十吉(G),以及具有足够的内存和较高的运行速度,内存128M或以上,CPU主频在500MHz或以上,而且可为多个CPU处理器,并且具有良好和可扩展性,以满足将来更新换代的需要,保证当前的投资不至于在短时间内便被消耗掉。
其余的硬件设备有路由器、交换机、集线器、网卡和传输介质等。所选择的这些设备应具有良好的性能,能使网络稳定地运行。此外,在此前提下,还应遵循经济性的原则。
2.3Intranet的软件配置
软件是Intranet的灵魂,它决定了整个Intranet的运行方式、用户对信息的浏览方式、Web服务器与数据库服务器之间的通信、网络安全及网络管理方式等,是网络建设中极为重要的一环。
Intranet的软件可分为服务器端软件和客户端软件。客户端软件主要为浏览器,目前常用的浏览器软件有NetscapeNavigator、MicrosoftInternetExplore等。服务器端软件较为复杂,主要有网络操作系统、Web服务器软件、数据库系统软件、安全防火墙软件和网络管理软件等。选择网络操作系统时,应考虑其是否是一个高性能的网络操作系统,是否支持多种网络协议,是否支持多种不同的计算机硬件平台,是否具有容错技术和网络管理功能等多方面因素。目前市场上主流的网络操作系统有UNIX、NovellNetware和WindowsNT等。如果企业网Intranet中大多数是于PC机为主体,建议选用NovellNetware和WindowsNT。
3.企业网Intranet构建的关键技术
3.1防火墙技术
由于Intranet一般都与Internet互连,因此易受到非法用户的入侵。为确保企业信息和机密的安全,需要在Intranet与Internet之间设置防火墙。防火墙可看作是一个过滤器,用于监视和检查流动信息的合法性。目前防火墙技术有以下几种,即包过滤技术(Packetfilter)、电路级网关(Circuitgateway)、应用级网关(Application)、规则检查防火墙(StalafulInspection)。在实际应用中,并非单纯采用某一种,而是几种的结合。
3.2数据加密技术
数据加密技术是数据保护的最主要和最基本的手段。通过数据加密技术,把数据变成不可读的格式,防止企业的数据信息在传输过程中被篡改、删除和替换。
目前,数据加密技术大致可分为专用密匙加密(对称密匙加密)和公用密匙加密(不对称密匙加密)两大类。在密码通信中,这两种加密方法都是常用的。专用密匙加密时需用户双方共同享有密匙,如DES方法,由于采用对称编码技术,使得专用密匙加密具有加密和解密非常快的最大优点,能有硬件实现,使用于交换大量数据。但其最大问题是把密匙分发到使用该密码的用户手中。这样做是很危险的,很可能在密匙传送过程中发生失密现象(密匙被偷或被修改)。公用密匙加密采用与专用密匙加密不同的数学算法。有一把公用的加密密匙,如RSA方法。其优点是非法用户无法通过公用密匙推导出解密密匙,因此保密性好,但运行效率低,不适于大量数据。所以在实际应用中常将两者结合使用,如通过公用密匙在通信开始时进行授权确认,并确定一个公用的临时专用密匙,然后再用专用密匙数据加密方式进行通信。
3.3系统容错技术
网络中心是整个企业网络和信息的枢纽,为了确保其能不间断地运行,需采取一定的系统容错技术:
(1)网络设备和链路冗余备份。网络设备易发生故障的接口卡都保留适当的冗余,保证网络的关键部分无单点故障。
(2)服务器冷备份。采用双服务器,它们都安装数据库管理系统和Web服务器软件,但两台服务器同时运行不同的任务,一台运行数据库系统,一台运行Web服务器软件,它们共享外部磁盘陈列,万一一台服务器出现故障,可以通过键入预先编好的命令,把任务切换到另一台服务器上,确保系统在最短时间内恢复正常运行。
(3)数据的实时备份。对数据进行实时备份,以保证数据的完整性和安全性,确保系统安全而稳定低运行。如通过ARCSrever对数据提供双镜象冗余备份,或由SNAServer提供安全快捷的数据热备份。
结束语
企业网Intranet的构建是一个大的系统工程,需要有较大的人力和物力的投入。企业应根据自身实际情况和发展需要,有的放矢地建立适合自己的Intranet,只有这样才能充分有效地利用Intranet,真正达到促进企业进一步发展的目的。
参考文献
张孟顺,向Intranet的迁移[J],计算机系统应用,1998(4):22~24
张金隆,现代管理信息技术[M],华东理工大学出版社,1995
篇9
一、提出网络建设的目标和要求
中小企业的网络系统是通过实现资源共享以加强对信息资源的综合管理为目的。组网应以企业当前实际需要为中心,以增强企业的竞争能力为重点,专注于关键业务流程的整合,努力促进各部门间的协作,从而提高运营效率,降低运营成本,帮助企业迅速成长和发展。功能上要求实现方便的内部数据访问、内部信息、电子邮件、文件传输及在线办公等。中小企业应根据自身的实际情况提出具体的网络建设目标,如系统的管理内容和规模、系统的正常运转要求、应达到的速度和处理的数据量等。
二、网络系统的设计与实施
建设目标确定后,就可以遵循系统整体性、先进性和可扩充性原则,进行网络系统的设计与实施。
(一)网络粪型的选择
早期的网络产品主要有Ethemet(以太网)、ARCNET,Token-Ring(令牌环网)三种类型。随着人们对网络传输速率和其它性能要求越来越高,又出现了高速网络产品,包括:快速以太网、FDDI网、ATM网3种类型。
快速以太网传输速率为100Mb/s,并可升级到1000Mb/s,中小企业原来已建设的10Mb/s以太网可平滑地升级到快速以太网,从而最大限度地保护中小企业的已有投资。
FDDI网以光纤为传输媒体,传输速率达100Mb/s,覆盖范围可达100kin2,可连接500多个站点,所以在大范围局域网的组网技术中占重要地位。
ATM网具有数据传输速率高、吞吐量大、时延短等优点,数据传输的稳定性、安全性也优于其它网络,是今后组网的方向,但价格比较贵。
中小企业应用简单,对信息处理要求不高,用ATM作主干网会造成投资的浪费,主干网宜采用快速以太网,桌面系统采用以太网。如果有足够资金,中小企业主干网也可直接采用传输速率为1000Mb/s的千兆以太网,省去以后升级的二次开发投资。
(二)网络拓扑结构的选择
目前局域网的拓扑结构主要有星形、总线型、树型和环形四种,中小企业必须根据系统要求的功能、工作站数、物理分布状态等因素选择合适的拓扑结构。如果对数据传输实时性要求高,可采用环型拓扑;对可靠性要求高,可采用总线型;工作站分散用环形;工作站分布集中,用总线型。采用星型拓扑的快速以太网是中小企业组网时选择最多的方案,所以星型拓扑目前最为常用,也可采用星型一总线型的混合型拓扑结构。
(三)网络操作系统的选择
目前在局域网上主要流行的操作系统有:Netware、Unix、Linux、windowsNT等,其中WindowsNT具有Microsoft家族的统一界面,使用者容易上手。网络安装容易、管理简单,应是网络操作系统的首选。
(四)数据库管理系统(DBMS)选择
可选择的DBMS很多,如ORA-CLE,SYBase,Informix,Ms-SQL Server等,一般中小型网络中多选WindowsNT作操作系统,宜选微软的产品Ms-SQL Server作为DBMS。
(五)主要网络硬件设备的选择
网络硬件设备的选择应根据网络性能要求和资金情况综合考虑,选择具有最佳性价比的产品。
主干交换机。主干交换机对整个网络畅通运行至关重要,它不仅要支持高带宽,还要支持虚拟网划分,带第三层交换功能,以确保网络效率。中小型企业网络可选BayAecelarl 100路由交换机。
工作组/子网交换机。考虑到上面所选择的主干交换机,工作组,子网交换机宜选用Catalyst3000系列交换机或Baystack450交换机。
桌面接入设备。如果要实现对服务器和主干网的高速连接,桌面接入设备可选Catalystl900和catalyst2820独立式交换机,它们是实现完全交换式以太网的桌面接入级设备。
如果要考虑经费且对带宽无特殊要求,桌面接入设备可采用集线器(HUB),目前100Mb/s的HUB常用的有Intel公司的IntelExpressl00Base-TX、D-Lingk公司的DFE916×16。
网络适配器(网卡)。一般工作站可使用PCI 10、IOOM网卡,服务器网卡对网络性能有很大影响,目前市场上最常用的是Intel公司的Intel Ex-pressPRO、 100服务器网卡。
网络服务器。网络服务器是局域网的核心部分,选择不当会影响网络工作效率,甚至会造成数据丢失等巨大损失。选择时应考虑的因素包括:高可靠性、高效性、扩展及兼容性、性价比。目前常用微机服务器有HP、IBM、COMPAQ及国内的浪潮、联想等产品。
(六)网络管理与互连的设计
局域网上如果过多的站点集中在同一网段,会使网络性能下降,也给网络管理和网络安全带来很大麻烦,可采用虚拟局域网技术(VLAN)解决这一问题,通过用VLAN支持的中心交换机把一个大型物理局域网人为地划分为多个局域网,以提高网络性能和方便网络管理。
考虑本企业与外部的信息交流,还需要进行网络互连的设计,企业之间局域网与局域网的互连,若网络结构相同,可用网桥进行互连;若网络结构不同,应采用网关进行互连;距离远的企业间及企业与Internet(互联网)的连接,可通过邮电部门电话网、X125、DDN、帧中继和ISDN等通信网利用调制解调器、路由器等网络互联设备进行互连。
(七)综合布线系统的设计与实施
目前网络布线多采用综合布线技术,所谓综合布线是指将计算机网络系统、电话系统。电视监控系统等的布线综合起来统一布线,综合布线设计方法通常是由低层向高层,逐层进行布线设计,第一步确定信息点的数量和位置;第二步确定每个楼层的水平布线;第三步确定楼层的垂直布线;第四步确定各建筑物之间的主干布线。
企业计算机综合布线系统设计,一般分为集中式网络配置和分散式网络配置。前者把全部网络设备都集中放置在中心机房,各个子系统的综合布线线缆最后都集中到中心机房的主配线架;后者只把服务器、UPS、主配线架及主交换机放在中心机房,通过网络主干与各子系统相连。中小型企业可采用集中式网络配置方案。
综合布线的传输媒体常采用5类,超5类双绞线。考虑今后的升级,布线系统采用的传输媒体应尽可能提升。中小企业网络主干的选择较为灵活,视具体情况确定。在布线系统设计中,信息点设计要尽可能多,以备日后增加信息设备的需要。
(八)网络的安全性与可靠性
保证局域网安全可靠地工作,是中小企业最关心的问题之一,尤其是电气连接的安全性和数据的可靠性。组网时电气连接必须严格遵循电气安装标准,应采用电气隔离措施以防止网络设备烧毁,电气安全性是网络硬设备的重要指标,数据可靠性则是网络软件的重要指标,主要是数据的误码率和共享数据、文件的安全性,通常靠采取认可和保护措施来饵决,如对各种用户规定不同的存取权限、优先等级等。
三、总结
中小企业局域网的规划设计可能有几个方案同时满足要求,这时最终方案的确定应从以下几方面考虑: 一是技术的先进性:尽量选择有强大生命力和远大前途的网络技术。
二是可扩展性:随着企业对网络带宽,终端数目等需求的增加,选定的网络方案应能够容易地、平滑地迁升到高一级网络,为今后升级作好准备。
三是网络产品的技术支持和售后服务。
篇10
关键词:设计目标;原则;需求分析;设计实施方案
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)14-3255-06
Mingzhu Network ltd Network Construction Scheme
SONG Wei
(Guangzhou Songtian Polytechnic College, Electrical and Information Engineering, Guangzhou 511300, China)
Abstract: This thesis puts forth the brief introduction to the MINGZHU Testing Flat and its related content, methods,setting firstly. Then puts emphases to the equipment testing with electricity, testing connectedness, routing policy etc, together with the detailed implementing solutions and some testing results. Readers can get considerable reference from it.
Key words: design object; principle; demand; requirement design; implementation solution
1 企业背景
明珠网络有限公司是一家专业从事网络、存储产品销售和信息项目整体方案解决的国家二级系统集成商,公司地址在广州,随着办公信息化、自动化的需求,各部门间为提高办公效率,促进信息交流,适应现代化办公的要求,需要组建一个完善的企业办公局域网。
2 需求概况
2.1 公司组织结构和管理模式及相关业务概况
公司组织结构如下:
1)财务部
2)工程部
3)销售部
4)行政部
5)人事部
6)董事会
2.2 网络系统的整体规划
2.2.1 网络规模
建设适合大中企业的互连接入网络。
1)需要CISCO 6509交换机1台、二层交换机7台、服务器6台、客户机60台、1块FWSM防火墙模块、1块VPN模块等。
2)公司所有员工通过6509交换机能接入并访问互联网。
3)公司的计算机以部门为单位实现隔离。
4)公司出差员工通过VPN访问公司内部网络。
5)公司构建FTP、DHCP、WEB、DNS、BBS、E―MAIL、财务管理系统、人事管理系统、视频会议等服务器。
2.2.2 网络设备
设备选型应满足以下几个条件:
1)设备满足未来3~5年用户需求的变化。
2)由国内外知名厂商生产,技术指标先进,采用模块化设计结构。
3)综合考虑用户需求并符合经济性、适用性原则。
4)至少支持100Mbps以太网端口。
5)网络系统的总存储量、各客户机的存储量以及相应内存容量等应考虑一定的冗余度。
2.3 系统需求概况
2.3.1 系统管理
互联网系统是公司跟外界的一条重要信息交互通道,要求具有快速高效以及运行稳定的特点,同时,要对员工用户帐户进行相应的控制和管理,并提供完善的日志功能。
1)用户安全、帐户管理
2)用户权限管理
3)网络访问控制
4)事件日志
2.3.2 相关系统软件及应用软件的选择原则
1)主流操作系统:Red Hat Enterprise Linux 5和Windows Server 2003。
2)使用Windows Server 2003构建以下服务:WEB、FTP、邮件服务器、财务管理系统、人事管理系统、视频会议等服务器。
3)使用Linux 构建以下服务:BBS、DNS、DHCP等。
2.3.3 工程投资
表1是部分硬件及软件产品的清单和报价。
3 项目设计原则
根据本网络系统的特点和用户要求,我们的设计原则是:
1)可靠性──系统具备网络诊断、测试和在线故障恢复能力,关键设备、线路能做到实时备份和自动故障切换。
2)标准化──网络技术发展迅速,不能盲目求新,必须以符合国际标准为准则,选择技术已经成熟、标准化的产品,这是保护投资、易于维护的基础。
3)扩展能力──充分考虑到目前的业务需求和今后长时间内业务发展的需要,系统可方便地实现升级。当将来采用新技术(如ATM)时原有设备能继续使用,只需增加有限的模块和设备,保护原来的投资。而且,中国港湾建设总公司有些业务部门应用系统的研制开发,可能会安排在本系统之后,将来随着业务的发展,还可能有新的业务部门出现,本系统应该能够适应和容纳这种变化。
4)开放性──网络体系结构与系统应用各自独立,与服务器、工作站的操作模式无关,支持各种通讯协议,各种数据库和客户机/服务器以及Internet/Intranet的应用,并能方便地和其它机构、企业的主机和网络互连通讯。
5)灵活性──拓扑结构必须灵活,便于进行网络的管理和调整。
6)可维护性──网络系统便于管理和维护,配置功能强大的网络管理系统,实现集中维护和检测。
7)严密的安全控制和保密性能──系统提供必要的安全保护手段,防止由于操作人员的失误以及系统的意外故障而造成数据丢失或破坏;同时能防止系统外部的侵入和操作人员的非法操作,系统的信息安全性要求达到C2级标准。
8)经济性──一次性投资,长年受益,维护费用低,使整体性价比达到最优。
9)先进性──支持任务优先级的划分,具有适当的多媒体应用支持。
10)工程建设按照相关国家标准实施。
4 项目设计方案
4.1 网络拓扑图
系统网络拓扑图如图1所示。
4.2 项目设计方案具体描述
网络的主要结构是以一台CISCO W-C6509-E的高端交换机为核心,安装在办公楼的主机房,为了保证系统的高可靠性,我们采用主交换机机箱冗余电源,避免了电源单点故障造成的系统瘫痪,因为电源模块故障是设备故障发生率最高的部分。6509具有9个模块插槽,其中1个槽用来插千兆引擎模块(WS-X6K-SUP1A-MSFC),用来管理整个交换机,并作数据包的路由和转发,该模块可以实现冗余热备份(支持HSRP),实现系统更高的可靠性。1个槽用来插12口千兆以太网模块,用于连接各个部门交换机。1个槽用来插防火墙模块,用来保证整个网络的安全性。1个槽用来插IP安全(IPSec) VPN模块,便于外出办公人员远程访问公司内部网络。同时,为了部门与部门之间的安全考虑,在6509上划分若干个VLAN,如服务器群、行政部门、工程部门、财务部等各划一个VLAN。同时,管理员组直接连接到6509上,这样可以很方便得对网络进行管理。6509机箱上的其余插槽用于将来网络扩展。Catalyst6509交换机具有背板带宽高(32G,6500系列可扩至256G)、高速三层交换(15M,6500系列可扩至150M)、端口密度大(130个千兆端口)、扩展能力强等优势。
在其他各个联网部门,我们采用6台Cisco WS-C2960-24TT-L交换机和1台Cisco Catalyst 2960G-24TC交换机作为交换机平台,Cisco WS-C2960-24TT-L交换机有24个10/100以太网端口和2个10/100/1000固定以太网上行链路端口;1机架单元(RU)。Cisco Catalyst 2960G-24TC有20个10/100/1000以太网端口,其中4个为双介质端口;可以完全满足该网络的要求,是典型的高性能桌面交换解决方案。
为了防止网络中的大量广播信息包产生广播风暴,同时也为了系统管理的需求,我们根据需要对核心交换机划分若干VLAN ,制定交换机的各个端口属于那些VLAN ,然后根据需要制定相应的VLAN之间的路由策略,在CISCO 6509 的MSM上配置路由,既要满足性能的要求,又要满足安全性的要求。
网络的对外出口(Internet)接入设备采用Cisco 6509路由器模块,用 1个以太端口用来连接6509外网段(Internet网段),另外申请了两个公网IP地址,一个用于内部PC客户端访问Internet。一个用于外部网络访问内部服务器。
由于各部门的距离不远,所以各交换机之间我们采用了千兆以太网相连,各PC客户端通过百兆以太网接入二层交换机(服务器使用了千兆以太网接入)。在6509上有一个光纤接口模块,我们通过光纤接口用光纤连接到Internet ,并申请了10M的带宽,满足了公司日常业务的进行。
4.3 局域网主要技术分析
1) 千兆以太网技术
千兆以太网构筑于以太网协议之上,但是其速度比快速以太网增加10倍,达到1000Mbps或1Gbps。该协议在1998年6月实现标准化,有可能成为高速局域网主干和服务器连接领域的一种主要协议。千兆以太网和普通以太网从数据链路层以上是相同的,它通过将IEEE802.3以太网和ANSI X3T11光纤信道技术结合起来,使速率增加到1Gbps。千兆以太网标准利用了现有光纤信道的高速物理层接口技术的优点。
2) VLAN技术
基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。VLAN还能减少因网络成员变化所带来的开销。在添加、删除和移动网络成员时,不用重新布线,也不用直接对成员进行配置。
3) 第三层交换技术
三层交换技术的出现,解决了局域网中网段划分之后网段中的子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。第三层交换技术的实现可以分成两类:一类可以归结为“一次路由,多次交换”,这类技术的实现占大多数;另一类是基于高性能硬件的线速路由器。一个具有三层交换功能的设备,是一个带有第三层路由功能的第二层交换机,但它是两者的有机结合,而不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。
4.4 服务器架设方案
1) 服务器选型方案
公司内部所有服务器均使用了IBM System X3400(7976I15),该款服务器标配一颗Intel Xeon DP E5420处理器,核心频率为2.5G,12MB二级缓存,支持英特尔64位内存扩展技术;ATI RN50 16MB的显示芯片。标配2条2×1G PC2-5300 DDR2 SDRAM (Chipkill)全缓冲内存,最大支持内存容量为32GB。这里建议用户加配1GB内存,以保持每颗处理器核心能够独享1GB内存,保证了服务器的运行速度。
存储方面,服务器集成了ATA控制器,标配146G SAS HDD硬盘,最大支持1TB容量的SATA硬盘。集成RAID 0、1、10,可选的阵列卡支持到RAID 5模式,此外还有6个扩展插槽。接口有2个串口、2个USB 2.0(后面)、2个USB 2.0(前面)、1个并口、1个千兆以太网接口(RJ-45)、1个系统管理接口(RJ-45)、还有三个冷却风扇。外设方面,IBM System x3400带有一个CD-ROM光驱,并且集成了千兆以太网接口。IBM System X3400服务器仅万元的售价使其具备了显著的价格优势,5U塔式结构尽管占用托管空间较大,却带来了无与伦比的可扩展性。
2) 服务器主要技术分析
为了满足公司日常的需要,在这里我们为公司架设了各类服务器,有FTP服务器、WEB服务器、BBS服务器、DHCP服务器、DNS服务器、邮件服务器等等。接下来我们会简单得进行介绍。
(1) DNS服务器技术
DNS(Domain Name System ,域名系统)为Internet上的计算机提供名称(如“”的域名)到地址(如“192.168.6.2”的IP地址)的映射服务,以用于域名解析。
(2)HCP服务器技术
DHCP,即动态主机分配协议(Dynamic Host Configuration Protocol,DHCP)从原有的BootP协议发展而来,用于对多个客户计算机集中分配IP地址以及IP地址相关的信息的协议,这样就能将IP地址和TCP/IP的设置统一管理起来,而避免不必要的地址冲突,节省了网络管理员手工设置和分配地址的麻烦。
(3) Web服务器技术
Web服务(Web Service)是基于XML和HTTPS的一种服务,其通信协议主要基于SOAP,服务的描述通过WSDL,通过UDDI来发现和获得服务的元数据。WEB服务器也称为WWW(WORLD WIDE WEB)服务器,主要功能是提供网上信息浏览服务。
IBM WebSphere:WebSphere Application Server 是 一 种功能完善、开放的Web应用程序服务器,是IBM电子商务计划的核心部分,它是基于 Java 的应用环境,用于建立、部署和管理 Internet 和 Intranet Web 应用程序。 这一整套产品进行了扩展,以适应 Web 应用程序服务器的需要,范围从简单到高级直到企业级。
BEA WebLogic:BEA WebLogic Server 是一种多功能、基于标准的web应用服务器,为企业构建自己的应用提供了坚实的基础。各种应用开发、部署所有关键性的任务,无论是集成各种系统和数据库,还是提交服务、跨 Internet 协作,起始点都是 BEA WebLogic Server。由于 它具有全面的功能、对开放标准的遵从性、多层架构、支持基于组件的开发,基于 Internet 的企业都选择它来开发、部署最佳的应用。
APACHE:apache仍然是世界上用的最多的Web服务器,市场占有率达60%左右。它源于NCSAhttpd服务器,当NCSA WWW服务器项目停止后,那些使用NCSA WWW服务器的人们开始交换用于此服务器的补丁,这也是apache名称的由来(pache 补丁)。世界上很多著名的网站都是Apache的产物,它的成功之处主要在于它的源代码开放、有一支开放的开发队伍、支持跨平台的应用(可以运行在几乎所有的Unix、Windows、Linux系统平台上)以及它的可移植性等方面。
(4) FTP服务器技术
FTP(File Transfer Protocol),是文件传输协议的简称。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)。用户可以通过它把自己的PC机与世界各地所有运行FTP协议的服务器相连,访问服务器上的大量程序和信息。FTP的主要作用,就是让用户连接上一个远程计算机(这些计算机上运行着FTP服务器程序)察看远程计算机有哪些文件,然后把文件从远程计算机上拷到本地计算机,或把本地计算机的文件送到远程计算机去。
(5) 邮件服务器
电子邮件是因特网上最为流行的应用之一。如同邮递员分发投递传统邮件一样,电子邮件也是异步的,也就是说人们是在方便的时候发送和阅读邮件的,无须预先与别人协同。与传统邮件不同的是,电子邮件既迅速,又易于分发,而且成本低廉。
(6) BBS服务器技术
在搭建BBS服务器时,我们使用的软件是Discuz!,他是康盛创想(北京)科技有限公司(英文简称Comsenz)推出的一套通用的社区论坛软件系统,用户可以在不需要任何编程的基础上,通过简单的设置和安装,在互联网上搭建起具备完善功能、很强负载能力和可高度定制的论坛服务。Discuz! 的基础架构采用世界上最流行的 web 编程组合 PHP+MySQL 实现,是一个经过完善设计,适用于各种服务器环境的高效论坛系统解决方案。
4.5 网络管理方案
在本方案中,我们选择了Cisco公司的CiscoWorks2000来管理整个公司的网络。
1) CiscoWorks2000功能介绍:
Cisco公司的CiscoWorks2000是专门为中小企业设计的管理软件。CiscoWorks2000作为全面的网络管理软件,基于SNMP业界标准,利用业界领先的Cisco IOS 软件的强大嵌入式特性,在不同的异构型网络内提供全面的Cisco解决方案管理。
CiscoWorks2000系列产品的特点:
1)支持以太网和快速以太网,灵活方便,可适应大多数企业的要求。
2)安装、配置和管理简单方便,支持CiscoWorks和Cisco View 等网络管理软件。
3)支持硬件加密卡,完成数据加密时,不影响路由性能。
4)保护用户的投资。
5)模块化的体系结构,具有良好的可扩展性。
6)保证各种服务的传输质量。
7)支持语音、数据和传真的集成,节省长途电信费用,促进新的应用产生。
4.6 网络安全策略
对于一个新建网络系统,我们通过了以下途径来实现网络安全:
(1) 划分多个VLAN
在本网络系统中,为了保证整个网络系统的安全性,实现各个部门的隔离,我们运用了VLAN 技术。即在核心交换机上将属于以上几个子系统的计算机分别划分到不同的VLAN中去。
(2) ACL
访问控制列表(ACL)可以根据用户自身的特征来确定用户对各种资源的访问权限,控制用户对系统资源的范文,维护系统的机密性、完整性和可用性。在Cisco IOS中,访问控制表还可以进一步提供更详细的安全策略控制。比如:基于物理端口、MAC地址、特定应用和数据类型的过滤控制。
(3) 防火墙
防火墙是一种网络级的访问控制技术,它通过在内部网与外部网(公共网)之间设立一道屏障,控制进出的交通,达到保护内部网络资源的目的。
服务器是网络系统核心,服务器故障意味着整个网络的瘫痪,对于实时性要求很强的网络而言,这种事故造成的损失将是不可估量的,因此要求服务器有以下功能:
1) 完善的容错能力:在电源、硬盘、阵列卡、内存保护、CPU电源模块、PCI总线上实现在线冗余。
2) 带电热插拔技术:保证易损部件的更换与维护不影响系统的运行。
3) 智能I/O技术:对重负荷的I/O卡,如1000M网卡、高速硬盘卡,采用按最新I20规范设计的智能通道卡,减轻主CPU的压力,优化总线传输,增加I/O吞吐能力。
4) 良好的扩充性:保证在应用增加时只需扩充服务器计算能力与存储能力便可保证应用的升级,而勿需再增加服务器。
(4) 双机热备技术
双机热备包括广义与狭义两种。
从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统能持续提供服务。
从狭义上讲,双机热备特指基于active/standby方式的服务器热备。服务器数据包括数据库数据同时往两台或多台服务器写,或者使用一个共享的存储设备。在同一时间内只有一台服务器运行。当其中运行着的一台服务器出现故障无法启动时,另一台备份服务器会通过软件诊测(一般是通过心跳诊断)将standby机器激活,保证应用在短时间内完全恢复正常使用。
(5) 防病毒技术
(a)对公司网络中PC机的病毒防护
个人PC机位于企业防毒体系中的最底层,对企业计算机用户来说,也是最后的一道防线。考虑到网络中PC机的数量问题,为了很块得实施防病毒策略,日后的维护和更新工作,我们使用了趋势推出了Office Scan企业授权版,它们具有如下特点:
1) 通过服务器自动分发客户端工作站防毒软件,大大简化了安装过程。
2) 自动识别客户机操作系统并下载和安装相应的防毒程序,支持多种作业平台的工作站。
3) 通过服务器设置统一的防毒策略,获取完整的病毒活动报表,实施集中的病毒码和程序更新。
4) 设有密码保护功能, 防止企业内用户随意卸载病毒监控程序,从而形成企业网络的病毒“后门”。
5) 储存所有工作站硬盘引导区记录,以备工作站引导区遭受病毒破坏后的紧急救援。
(b) 对公司网络中服务器的病毒防护
服务器是网络的核心,在日常的使用中,它会遭受大量引导型病毒、DOS病毒以及宏病毒等的攻击,更为常见的是,由于文件服务器为网络中所有的工作站提供文件资源共享,所以很可能会成为病毒的隐身寄居场所,进而将病毒扩展到网络所有机器上。为此,我们使用了趋势科技的LDVP(LANDesk Virus Protect)。
作为防毒体系结构中的服务器端产品,ServerProtect的实时病毒监控功能,远程安装、远程调用功能,病毒码自动更新功能以及病毒活动日志、多种报警通知方式等,为企业内文件服务器的病毒防护提供了最大便利和效能。
(c)邮件服务器的病毒防护
随着企业内部电子邮件应用日益普及,病毒入侵的管道又增加了一个。所以,病毒完全可以利用电子邮件来进行传播。所以我们不得不重视对邮件服务器的病毒防护。除了对公司所有员工进行安全培训之外,我们还使用了趋势科技的ScanMail系列防病毒产品,使网络防毒体系结构中又增加了一道关卡,确保其安全。
5 本方案特点
(1) 高带宽、高性能
在本方案中,核心层使用了高端的三层交换机,实现了快速转发,主干交换为1000M 、100M交换到桌面,并且采用了快速/千兆以太网通道,使网络带宽的100M/1G之间自由选择。
(2) 可靠性高
充分考虑到系统对可靠性的要求,整个网络系统设计时,核心设备、重要模块、电源、线路等均采用了冗余设计,这些均为消除系统单点故障提供了可能性。
(3) 网络更安全
整个网络应用了各种安全策略,安装了各种安全软件,使网络更加安全、可靠。
(4) 可管理
所选用的各种网络设备,包括CISCO 6509、CISCO 2960等均支持SNMP简单网络管理,可通过Cisco公司的网管软件CiscoWorks对网络设备实现动态管理和配置。
(5) 灵活性高、可扩展性
核心交换机预留了一部分插槽,等到有新的系统需要加入网络中时,可以增加相应的模块,直接和核心交换机连接。CISCO 6509具有9个插槽,能灵活得配置模块来满足各种不同的需求,无需对网络拓扑做任何改动。
(6) 先进性
CISCO公司是网络界的龙头老大,其产品覆盖了最新的各种档次的交换机和路由器。本方案选用的产品都是属于CISCO功能完善和强大的产品。而本方案中所使用的容错和冗余技术也是一种先进和有效的技术,可以满足网络的日常应用。
6 项目进度安排
根据该公司网络的具体要求和特点,将工程项目实现分为四个阶段:
第一阶段:工程设计和准备阶段---5天;
第二阶段:网络设备安装、调试阶段---25天;
第三阶段:网络测试、验收---5天;
第四阶段:网络正常投入使用。
7 系统测试和验收
1) 测试验收内容
连通性测试
网络功能测试
2) 测试验收步骤
测试验收工作主要包括如下几方面:
(1) 测试验收方案的设计
测试验收方案由工程项目设计工作组在总体方案设计和项目实施方案设计时设计制定,必须得到双方的认可,并经审核后方为有效。
(2) 项目测试验收
双方在项目实施的第三阶段(项目测试验收阶段),严格按照测试验收方案进行整体测试和验收工作,包括编制测试验收方案,进行测试和验收以及提交测试和验收报告等。
(3) 提交测试和验收报告
项目测试和验收完成后,编制项目测试和验收报告,提交给甲方审核。
8 技术支持与培训
1) 技术支持
卖方应向购买方提供足够的技术支持和培训课程,保证系统运行后的正常运转。提供24小时的热线支持,保障系统正常运行,在系统发生重大故障时,卖方技术人员应在24小时内到达事故现场。
2) 设备保修
网络产品:高端(6509)保修三年;低端(PIX/3500/2600等)保修一年;
服务器:保修三年;
外设及其他:保修一年。
3) 相关培训
为保证本项目的顺利实施,以及在项目建设结束后,能使网络系统充分发挥其作用,需要对用户技术人员进行有关内容的培训。
(1) 售前培训
时间:5天;
地点:由我方按照实际情况安排;
内容:Cisco交换机/路由器原理及配置;
IBM System X3400 系列服务器培训。
(2) 现场培训
时间:与工程实施进度同步;
地点:用户施工现场;
内容:Cisco交换机/路由器软硬件配置;
IBM System X3400 系列服务器培训。
参考文献:
[1] 清华万博.LINUX服务器操作系统[M].北京:清华万博,2006:222.
[2] 鸟哥.鸟哥的LINUX私房菜-服务器架设篇[M].北京:机械工业出版社,2008:661.
[3] 周国添.LINUX系统高级管理员实训手册[M].广州:广东省新闻出版社,2006:153.
相关期刊
精品范文
10企业的愿景